Passo a passo de como configurar uma máquina Linux em um domínio do Active Directory.
Preparações e instalação de pacotes
Comece atualizando os pacotes que já possuímos na máquina e, logo após, instale o que realmente precisamos.
Atualize as dependências com o comando:
Debian
sudo apt update
RHEL
sudo yum update
E prossiga com a instalação dos pacotes:
Debian
sudo apt install -y realmd libnss-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob- mkhomedir packagekit
RHEL
sudo dnf install realmd sssd oddjob oddjob-mkhomedir adcli samba-common-tools -y
Configurando o realm
De forma resumida, o Realm nos ajuda a descobrir e controlar os domínios que possuímos na máquina.
Para começar, precisamos primeiro descobrir o domínio que estamos procurando.
Utilize o seguinte comando:
realm discover NOME-DO-DOMINIO
Teremos uma resposta semelhante a esta:
Agora que descobrimos o domínio, precisaremos fazer login nele com um usuário. Utilize o seguinte comando:
sudo realm join -U USUARIO DOMINIO
Se até o momento não ocorreram erros, podemos verificar se realmente estamos conectados, utilizando o comando abaixo para verificar as permissões e grupos do usuário.
id USUARIO@DOMINIO
Outro método para verificar se está tudo ocorrendo corretamente é o seguinte:
realm list
Dessa forma, verificamos se já estamos conectados ao domínio desejado.
Pam-configs (ubuntu)
A configuração no pam-configs foi necessária apenas no Ubuntu para que a pasta do usuário seja criada no momento em que ele entra no sistema.
Apenas é necessário executar o comando:
sudo pam-auth-update --enable mkhomedir
Configurando SSSD
Devemos acessar o arquivo /etc/sssd/sssd.conf para realizar as modificações. Nele, vamos alterar a opção use_fully_qualified_names de False para True. Com essa opção ativada, os usuários estarão no formato user@domain, em vez de apenas user.
No nosso caso, vamos alterar para True, pois possuímos apenas um AD. No entanto, observe que essa alteração deve ser feita somente se você tiver certeza de que nenhum outro domínio será adicionado à floresta do AD.
Em fallback_homedir = /home/%u@%d, vamos modificar para fallback_homedir = /home/%u. Removendo o "@%d", a pasta do usuário será criada apenas com o nome do usuário.
Na opção access_provider = ad, muda-se para access_provider = simple.
Agora vamos adicionar uma opção que não está presente em nosso arquivo, que é o simple_allow_groups. Nessa opção, vamos adicionar os grupos que temos no AD e desejamos que tenham acesso à máquina Linux.
No nosso caso, temos dois grupos: linuxuser e linuxadmin. Para adicioná-los, devemos incluir simple_allow_groups = linuxuser, linuxadmin no arquivo.
Como resultado, o arquivo ficará da seguinte maneira:
Observação: nos lugares onde está escrito "Domain.local", deve ser o domínio que você está integrando ao sistema. E em "simple_allow_users = groups, linuxuser, linuxadmin" é uma opção adicionada automaticamente no próximo item.
Assim, finalizando o processo de configuração do SSSD, vamos permitir o acesso dos usuários que estão nos grupos que adicionamos em simple_allow_groups. Utilize os seguintes comandos:
realm permit [group]
Exemplo:
realm permit linuxuser
realm permit linuxadmin
SUDOERS
Com os processos realizados nos itens acima, já conseguiremos acessar a máquina utilizando o usuário do AD. No entanto, ele não terá acesso root no sistema. Para resolver isso, devemos adicionar os grupos dentro do arquivo /etc/sudoers. O resultado será o seguinte:
Adicionamos o grupo %linuxuser para permitir que todos os usuários do grupo linuxuser possam acessar a máquina e obter acesso root.
Conclusão
Ao seguir essas etapas, os usuários do Active Directory poderão autenticar-se na máquina Linux e ter os privilégios adequados. Certifique-se sempre de seguir as melhores práticas de segurança ao realizar essas configurações.
Top comments (0)